はじめに
TRAILBLAZER アドベントカレンダーをご覧の皆さま、こんにちは。ITセキュリティ部の永野と申します。
※この記事では技術的に興味深いことは書きません(書けません)
私は去年の7月に、いわゆる「一人目の専任情シス」的な立ち位置でTRAILBLAZERに入社しました。(その2ヶ月後に2人目が入社してくれました!)
これまでの経歴を簡単にお話しすると、新卒で鉄道会社の信号部門に入り、その後はガス会社のセキュリティ担当へ……といった具合に、ずっと社会インフラを支える「お堅い業界」を歩んできました。そこからリモート・フレックスがメインのデジタルコンサルティングを行うTRAILBLAZERへの入社ですので、個人的にはかなり大きな環境の変化でした。
現在、私のチームが担っている役割は大きく2つです。
- リモートワークでも、みんなが能力を発揮できる環境を整えること(攻め・効率)
- 会社の基盤となるコーポレートセキュリティを確保すること(守り・安全)
ただ、私自身これまでお堅い会社で、かつ上流工程の設計などを中心に担当していたため、実は手を動かして様々なTechスタックに触れる機会が全くと言っていいほどありませんでした。
そのため、社員の皆さんから日々飛んでくるリクエストに対し、「初めて聞く横文字だ」と思いながら裏で必死にキャッチアップしながら、なんとかやりくりしています。
今日は、そんな私がコーポレートセキュリティについて考えていることをお話しします。
情報セキュリティマネジメントってなんでいるの?
そもそも、なぜセキュリティに力を入れるのか。理由は大きく分けて「事業の特性」と「組織のフェーズ」、そして「信用の可視化」の3点にあります。
1. 事業の特性
TRAILBLAZERは「デジタルコンサルティングエージェンシー」です。業務の中で情報資産を取り扱わない日は一日たりともありません。お客様の大切なデータをお預かりするビジネスモデルである以上、セキュリティはオプションではなく、事業継続の大前提となります。
2. 組織のフェーズ(管理の限界)
入社当時は社員数も30〜40名程度でしたが、会社が成長するにつれて社員数も利用サービスも数倍になりました。人力での統制が及ばなくなることは目に見えていたので、早い段階からの「仕組み化」が必要でした。
3. 信用の証明
ビジネスの世界では、客観的な証拠がなければ信用されません。「ちゃんとやっている」ことを対外的に証明するためには、第三者機関による認証という「形」に残る取り組みが必要不可欠だと考えています。
ということで、昨年からISMS(情報セキュリティマネジメントシステム)の構築と認証取得に向けて取り組んできました。
攻守を両立させる「リスクマネジメント」の要諦
「ISMSをやります」と宣言して教科書通りにガチガチに固めてしまうと、事業スピードを落とすことになり本末転倒です。そこで私たちは、形式的なルール作りではなく、「目標ベース」のリスクアセスメントを採用しました。
一般的にリスク分析といえば「資産ベース(PC、サーバー...)」で考えがちですが、変化の速い弊社にはなじみにくいと感じていました。
そこで、リスクマネジメントの国際規格である ISO 31000 や、情報セキュリティの用語定義である ISO/IEC 27000 における「リスク=目的に対する不確かさの影響」という定義に基づき、**「これからやる新しい取り組み(目標)に対して、何が阻害要因になるか」**を本質的なリスクと捉えて設計しています。
この考え方は、新しいことに挑戦し続けるTRAILBLAZERにとって、まさに攻守のバランスを取るのに最適な手法でした。
「仕組み」で組織の自走力を高める
こうした本質的なリスクマネジメントに集中するためには、「問い合わせ対応」「PCキッティング」などの定型業務を徹底的に効率化する必要があります。その例の一つとして行ったのは、Notion AIを活用したナレッジマネジメントです。
これはISMSの直接的な要求事項からは少し外れる取り組みではありますが、組織の自走力を高める上で非常に重要な役割を担っています。
現在、弊社は毎月のように全国各地から新しい仲間が加わる急成長フェーズにあります。新入社員にとって、社内独自のルールや多種多様なSaaSの使い分けをキャッチアップするのは非常に負荷が高い作業です。また、迎える側も同様の質問への対応に追われることになります。
この「キャッチアップ」という壁を低くするため、社内のナレッジをNotionデータベースに集約し、AIが回答するエコシステムを作りました。これにより、以下のような改善サイクルが回り始めています。
-
自己解決の促進とスムーズなオンボーディング
新入社員がNotion AIに聞けば即レスが来るため、誰かに遠慮することなく業務を進められます。 -
ボトルネックの可視化と次の一手
問い合わせの内容はすべてデータベースに蓄積されます。これを分析することで、**「今、組織のどこにナレッジの欠落があるのか」「どのルールが形骸化して業務のネックになっているのか」**が浮き彫りになります。 -
根本解決へのアプローチ
可視化されたボトルネックに対し、ルールの見直しやドキュメントの再整備をピンポイントで行う。この「データに基づいた改善」こそが、組織を強くする鍵だと確信しています。
「人が答え続ける」のではなく「システムが学習して賢くなり、私たちが改善に専念できる」環境。これこそが、少数精鋭の情シスチームが成長し続けるための生存戦略です。
今後の取り組み
-
ISMS認証の取得
先週ちょうどISMSの審査を終えて取得推薦となりました。認証取得はゴールではなくスタートラインです。これでようやく、対外的な信頼を「形」として示せる土台が整いました。 -
組織づくりのこれから
今の組織を守るだけでなく、会社がさらに成長したときにも耐えうる「強い組織基盤」を作りたいと考えています。そのために、長期的な視点でのアーキテクチャ設計に注力していきます。
📢 メンバー募集中!
やりたい、やるべきことは山積みです!
会社の組織や仕事の仕組み作りにも大きな裁量を持って携われます。興味がある方、ぜひ一度お話ししましょう!
リクルーティングページはこちら
https://recruit.trail-blazer.co.jp/